輕型目錄訪問協(xié)議 (LDAP) 和活動(dòng)目錄 (AD) 是任何公司安全的核心。但是兩者有什么區(qū)別呢？LDAP 是一種開放的、與供應(yīng)商無關(guān)的跨平臺協(xié)議，適用于多種目錄服務(wù)，包括 AD。相反，AD 是 Microsoft 專有的目錄服務(wù)，用于組織各種 IT 資產(chǎn)，如計(jì)算機(jī)和用戶。了解 LDAP 和 AD 之間的差異可以幫助您保護(hù)資源免受嚴(yán)重安全問題的影響。

什么是 LDAP？

LDAP 是一種輕量級協(xié)議，用于訪問和管理目錄服務(wù)，尤其是基于 X.500 的目錄服務(wù)。但是，與在開放系統(tǒng)互連 (OSI) 模型上運(yùn)行的基于 X.500 的目錄不同，LDAP 在傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議 (TCP/IP) 上運(yùn)行以傳輸服務(wù)。

LDAP 是 Microsoft Active Directory 中使用的核心協(xié)議。但您也可以在其他目錄服務(wù)中找到它的應(yīng)用程序，例如 Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server。

LDAP 最常見的應(yīng)用是對 AD 網(wǎng)絡(luò)的用戶進(jìn)行身份驗(yàn)證。在這方面，LDAP 存儲(chǔ)用戶名和密碼。然后，您可以使用不同的應(yīng)用程序或服務(wù)（例如 Jenkins、Kubernetes 或 Docker）來驗(yàn)證 AD 網(wǎng)絡(luò)的憑據(jù)。作為一種協(xié)議，LDAP 只定義了客戶端可以用來與服務(wù)器通信（以及服務(wù)器可以用來與服務(wù)器通信）的“語言”。

LDAP 沒有指定程序如何在服務(wù)器端或客戶端運(yùn)行。例如，您可以將電子郵件程序、地址簿或打印機(jī)瀏覽器作為您的客戶端。相比之下，服務(wù)器只能使用 LDAP 或使用其他方法來傳輸數(shù)據(jù)。這樣，LDAP 只是一個(gè)附加組件。

目前有兩個(gè)版本的 LDAP：LDAPv2（2003 年正式退役）和 LDAPv3。LADPv3 的出現(xiàn)是為了解決 LDAPv2 在身份驗(yàn)證、國際化、推薦和部署等領(lǐng)域的局限性。它通過簡單的身份驗(yàn)證和安全層 (SASL) 利用 Kerberos v5 協(xié)議，并包含比 LDAPv2 更多的 X.500 功能。

要使 Windows AD 與 LDAP 一起使用，您需要根據(jù) Active Directory 驗(yàn)證用戶的憑據(jù)。當(dāng)客戶端連接到 LDAP 服務(wù)器時(shí)，LDAP 的 BIND 操作會(huì)為任何會(huì)話設(shè)置身份驗(yàn)證狀態(tài)。有兩個(gè) LDAP 身份驗(yàn)證選項(xiàng)：簡單和 SASL。

通過簡單身份驗(yàn)證，用戶名和密碼會(huì)向服務(wù)器創(chuàng)建一個(gè) BIND 請求。另一方面，SASL 身份驗(yàn)證使用另一個(gè)身份驗(yàn)證系統(tǒng)（例如 Kerberos）將憑據(jù)綁定到 LDAP 服務(wù)器。SASL 提供了更高的安全性，因?yàn)樗鼘?yīng)用程序協(xié)議與身份驗(yàn)證方法分開，使 AD 不易受到攻擊。

什么是AD？

AD 是微軟的目錄服務(wù)。Microsoft 開發(fā) AD 作為其 Windows 域網(wǎng)絡(luò)的一部分以提供兩個(gè)功能。首先，AD 是一個(gè)分布式分層數(shù)據(jù)庫，其中存儲(chǔ)了有關(guān) IT 資產(chǎn)（例如用戶、計(jì)算機(jī)和其他資源）的所有信息。其次，AD 包含允許用戶訪問和操作這些資源的服務(wù)。

在這方面，AD 允許您管理所有 Windows 域網(wǎng)絡(luò)元素，包括用戶、組、計(jì)算機(jī)、安全策略和其他用戶定義的對象。Active Directory 利用 LDAP 和域名系統(tǒng) (DNS) 來定位和訪問網(wǎng)絡(luò)上的任何資源。

AD 有兩個(gè)主要目標(biāo)：

• 它允許用戶通過單點(diǎn)登錄 (SSO) 訪問域內(nèi)的資源。
• 它允許 IT 管理員集中管理用戶和其他網(wǎng)絡(luò)資源。

AD 將數(shù)據(jù)存儲(chǔ)為對象。AD 的對象是單個(gè)元素，例如計(jì)算機(jī)、用戶、共享文件夾或打印機(jī)。為了對對象進(jìn)行分類，AD 使用名稱和屬性。例如，AD 可能會(huì)使用用戶名、密碼和安全外殼 (SSH) 密鑰等詳細(xì)信息來存儲(chǔ)用戶。

以下是最常見的 AD 服務(wù)：

• 活動(dòng)目錄域服務(wù) (AD DS)。AD DS 是 AD 的主要組件。AD DS 將資源組織成邏輯層次結(jié)構(gòu)。它還根據(jù)組策略控制您可以在網(wǎng)絡(luò)上訪問哪些資源。域控制器 (DC) 是托管 AD DS 的服務(wù)器。每個(gè) AD 必須至少有一個(gè) DC。域控制器是定義域的容器，其中每個(gè)域都是 AD 林的一個(gè)子集。AD 森林通常包括一個(gè)或多個(gè)域，DC 在組織單元 (OU) 中組織這些域。
• Active Directory 輕型目錄服務(wù) (AD LDS)。AD LDS 利用 LDAP 和類似 AD DS 的功能。您可以將 AD LDS 用于不需要與 Windows 域網(wǎng)絡(luò)集成的啟用目錄的應(yīng)用程序。
• 活動(dòng)目錄聯(lián)合服務(wù) (AD FS)。AD FS 通過 SSO 對多個(gè)應(yīng)用程序的用戶進(jìn)行身份驗(yàn)證。使用 SSO，您只需登錄一次即可訪問多個(gè)服務(wù)，而不是為每個(gè)服務(wù)使用不同的身份驗(yàn)證密鑰。
• 活動(dòng)目錄證書服務(wù) (AD CS)。AD CS 是一種本地公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 機(jī)制，用于創(chuàng)建、驗(yàn)證和吊銷證書。它加密和解密 Windows 域網(wǎng)絡(luò)上的電子郵件、文件和網(wǎng)絡(luò)流量。
• Active Directory 權(quán)限管理服務(wù) (AD RMS)。AD RMS 處理 Windows 域網(wǎng)絡(luò)上的信息權(quán)限和管理。它可以加密內(nèi)容，例如服務(wù)器上的 Excel 文件，以限制訪問。

LDAP 和 AD 如何比較？

雖然 LDAP 和 AD 可以協(xié)同工作以增強(qiáng)組織的整體安全性，但它們在理念、功能和標(biāo)準(zhǔn)方面有所不同。首先，LDAP 是一種開放的應(yīng)用程序協(xié)議，在 Windows 結(jié)構(gòu)之外工作，主要針對 Unix 和 Linux 環(huán)境。另一方面，AD 是 Microsoft用于訪問和管理目錄的專有解決方案。

其次，LDAP 是一個(gè)核心協(xié)議，可以與 Active Directory、Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server 等目錄服務(wù)提供商一起工作。它允許用戶查詢和修改目錄中的項(xiàng)目。另一方面，AD 主要是目錄服務(wù)實(shí)現(xiàn)，具有組和用戶管理、策略管理和身份驗(yàn)證等功能。

第三，LDAP 沒有與 SSO 相同的概念，因?yàn)樗且粋€(gè)開源解決方案。相反，AD 支持域和 SSO。例如，如果網(wǎng)絡(luò)操作系統(tǒng) (NOS) 具有多個(gè) AD 域，您可以在客戶端上設(shè)置 SSO 以跨域運(yùn)行。

什么是 Active Directory 輕型目錄服務(wù) (AD LDS)？

Active Directory 輕型目錄服務(wù) (AD LDS) 是一種數(shù)據(jù)存儲(chǔ)和檢索解決方案，適用于希望為其基于目錄的應(yīng)用程序提供靈活支持的組織。AD LDS 與 AD DS 具有相同的代碼庫，因此與其共享功能。但是，與運(yùn)行域的 AD DS 不同，AD LDS 在逐個(gè)應(yīng)用程序的基礎(chǔ)上運(yùn)行。

AD LDS 利用 LDAP 目錄服務(wù)，該服務(wù)支持啟用目錄的應(yīng)用程序，沒有與域相關(guān)的限制和 AD DS 依賴性。對于希望使用基于目錄的應(yīng)用程序而不將它們與 Windows 域目錄集成的 IT 管理員來說，這是一個(gè)福音。

由于它不需要 DNS，因此您可以在客戶端操作系統(tǒng)（例如 Windows 工作站）上運(yùn)行 AD LDS。您還可以在單??個(gè)設(shè)備上同時(shí)運(yùn)行多個(gè) AD LDS 實(shí)例，每個(gè)實(shí)例都有一個(gè)獨(dú)立的架構(gòu)。因此，您可以利用 AD LDS 進(jìn)行軟件支持和測試。